Прокси-сервер сквида (или iptables) не позволит моим пользователям отправить или получить почту
У меня есть поле Ubuntu 10.04, которое было когда-то настроено как Сквид Прозрачный Прокси. Навигация была прекрасна: мои клиенты окон не испытали затруднений.
Проблема, которую я имел, состояла в том, что пользователи не смогли, отправляют или получают почту с помощью перспективы (и Outlook Express). Таким образом, я погуглил тут и там и узнал решение:
sudo iptables -t nat -A POSTROUTING -p TCP --dport 25 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -p TCP --dport 110 -j MASQUERADE
Все пошло большое.
Теперь я включил аутентификацию сквида (простая с помощью текстового файла) и моя перспектива, и Outlook Express прекратил работать снова. Я считал, что проблемой не является действительно сквид, связанный, потому что это не проксирует smtp или поп... Но я все еще должен решить его. NAT? Перенаправление портов?
Какие команды я должен использовать?
Сервер сквида имеет единственный NIC и может войти в Интернет и решить имена с помощью opendns серверы без проблем.
конфигурация на сервере: IP 192.168.1.210 подсети 255.255.255.0 шлюзов 192.168.1.5
На клиентах я использую: IP 192.168.1.x подсеть 255.255.255.0 шлюзов 192.168.1.210
Я могу добавить более подробную информацию, поэтому спросите, но я не знаю то, что могло быть необходимо для решения проблемы.
Править:
sudo iptables-L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
sudo iptables-L-t туземный
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE tcp -- anywhere anywhere tcp dpt:smtp
MASQUERADE tcp -- anywhere anywhere tcp dpt:pop3
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
1 ответ
Я не уверен, что именно ты собираешься достичь. Насколько я понимаю, вы будете использовать машину с squid в качестве маршрутизатора / межсетевого экрана для следующего сценария:
- разрешать веб-протоколы (http / ftp) только через squid
- разрешить доступ к smpt / pop3 из вашей внутренней сети через NAT.
- Ваш шлюз в Интернет - 192.168.1.5
Обычно NAT транслируется из одной сети (192.168.1.0/24) в другую (т. Е. 84.145.77.23/32) и наоборот. , Таким образом, вам может потребоваться настроить правила NAT на вашей машине шлюза 192.168.1.5 для работы.
Таким образом, исходящий путь:
client -> 192.168.1.210 ->NAT-> 192.168.1.5 ->NAT-> mailserver
И входящий путь для ответов:
mailserver -> 192.168.1.5 ->NAT-> 192.168.1.210 ->NAT-> client
Как видно из этого, 192.168.1.210 можно было бы исключить, а шлюз мог быть настроил прием и трансляцию исходящего трафика smtp / pop3 от всех клиентов и прием трафика http (s) / ftp outgoning только от 192.168.1.210.
Имхо второй NAT между 192.168.1.210 и 192.168.1.5 может вызвать проблемы (та же сеть) и не нужен.
Чтобы вообще включить NAT на 192.168.1.210, сначала попробуйте следующее:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
при необходимости измените eth0 на имя вашего сетевого интерфейса.